Auditoria de Seguretat 2025 per cure53
La seguretat sempre ha estat al centre del que fem a Psono. Per això estem entusiasmats de compartir els resultats de la nostra auditoria de seguretat més recent, realitzada per la reconeguda empresa de ciberseguretat Cure53. El seu test de penetració de caixa blanca i l'auditoria de codi font es van centrar en les extensions del navegador Psono (Chrome, Firefox, Edge), la nostra API de backend i els punts finals relacionats.
“L’ús ampliat de PyNaCl a l’aplicació garanteix una gestió i criptografia de dades efectiva.”
— Informe de Seguretat de Cure53, març de 2025
Què va Cobrir l'Auditoria
L'auditoria, que va abastar quatre paquets de treball (WP) dedicats, va avaluar tant els components del costat client com del costat servidor de Psono:
- WP1–WP3: Complements per a Chrome, Firefox i Edge
- WP4: API de backend i punts finals
L'equip de Cure53 va tenir accés complet al nostre codi font, documentació i recursos interns. Durant dotze dies, el seu equip de cinc persones va avaluar meticulosament la seguretat de la nostra infraestructura.
Troballes i Solucions
Es van identificar un total de vuit qüestions relacionades amb la seguretat, que abastaven des de baixa fins a alta gravetat:
- 0 qüestions de gravetat crítica
- 1 qüestió de gravetat alta
- 3 qüestions de gravetat mitjana
- 4 qüestions de gravetat baixa o diverses
Totes les vulnerabilitats han estat ja corregides i verificades per Cure53. Quan ha estat adient, hem implementat mesures addicionals com CSPs (Content Security Policies), validació de protocols, actualitzacions de dependències i un comportament d'autoumpliment més segur.
Podeu llegir la llista completa de troballes, incloent-hi informació tècnica detallada i notes de correcció, a la versió pública de l’informe de Cure53 que trobareu a l’enllaç següent.
Per què és Important
Ser transparents sobre les nostres pràctiques de seguretat ajuda a reforçar la confiança que els nostres usuaris dipositen en Psono. Els projectes de codi obert es beneficien enormement de l’escrutini públic —i el benvinguem.
Estem orgullosos que l’informe reconegui la fortalesa de les mesures de seguretat existents. És especialment remarcable que moltes de les vulnerabilitats identificades ja presentaven un impacte mitigat des del seu disseny, gràcies a mecanismes com els controls d'accés amb clau API i una aplicació estricta de CSP.
Descarrega l'Informe Complet
Pots llegir l'informe complet de Cure53 aquí:
